江苏省未来网络创新研究院因软件测试CMA资质评定需要,计划采购web安全测试工具和性能测试工具,项目总预算人民币36万元。
按照江苏省政府采购要求,结合研究院内部管理制度,本次采购采用询价的方式,欢迎符合要求的供应商提交报价文件。
本次采购具体要求如下:
一、本次采购报价文件应满足、包含以下内容:
1.报价单位针对标的物的报价不得高于最高限价,高于限价的报价将被否决。
2.报价单位应完全响应技术规格及配置要求,所有条款必须满足或正偏离,需提供证明材料的应提供相应材料。
3.报价单位需承诺,取得交易资格后提供原厂质保函。
4.请详细描述原厂质保内容及技术支持方案。
5.本次采购标的物安装实施地点在南京市。
6.报价单位应于5月12日上午10:00前将报价文件密封送至江宁区秣周东路7号未来网络大厦1702室。
二、报价文件每一页都应加盖报价单位公章,报价文件密封包装袋封口也应加盖公章。
三、本次采购标的如下:
序号
名称
数量(套)
最高限价(万元)
1
web安全扫描工具(核心产品)
36
2
性能测试工具
四、款项的支付方式及进度安排
1.全部软件安装部署完成30日后,中标单位开具合同总额80%的增值税专用发票、提交付款通知书后30日内,采购人支付等同发票金额给中标单位;
2.验收完成30日后,中标单位开具合同金额20%的增值税专用发票、提交付款通知书后30日内,采购人支付等同发票金额给中标单位。
3.总价款包括增值税税金、设备设计、制造、包装、仓储、运输、装卸、保险、安装以及验收合格前和保修期内设备及其备品备件更换及维修发生的费用等所有费用。
五、本次采购标的物技术规格及配置要求详见下表:
工具
指标项
技术规格及配置要求
Web安全测试工具
设备形态及性能要求
产品支持虚拟化平台部署,具备灵活的多平台部署能力,能够直接以虚拟机镜像方式部署在虚拟化平台上。
漏洞扫描与分析能力
支持检测的漏洞数大于240000条,兼容CVE、CNCVE、CNNVD、CNVD、Bugtraq等主流标准,其中漏洞库中CVSS≥9的漏洞数不少于25000条,须提供截图证明。
支持通过多种维度对漏洞进行检索,包括:CVEID、BUGTRAQID、CNCVEID、CNVDID、CNNVDID、MS编号、风险等级、漏洞名称、是否使用危险插件、漏洞发布日期等信息,须提供截图证明。
支持内置不同的漏洞模板针对Unix、Windows操作系统、网络设备和防火墙等模板,同时支持用户自定义扫描范围和扫描策略。
支持Oracle、MySQL、MSSQL、DB2、Sybase、MongoDB数据库漏洞检查,须提供截图证明。
具备单独口令猜测扫描任务,支持多种口令猜测方式,包括利用SMB、RDP、SSH、Telnet、SQLSERVER、MySQL、Oracle、Sybase、DB2、MongoDB、Memcached、Redis、PostgreSQL、HighGo、UXDB、Kingbase、STDB、FTP、SFTP、ActiveMQ、POP3、Tomcat、SMTP、IMAP、Onvif、RTSP、SNMP、SIP、VmwareESXi、HTTPDigest、Weblogic、Elasticsearch、Websphere等协议进行口令猜测,允许外挂用户提供的用户名字典、密码字典和用户名密码组合字典,须提供截图证明。
支持智能端口挖掘,可以智能发现非默认端口启动的服务,须提供截图证明。
产品提供Web应用扫描能力,提供多种Web应用漏洞的安全检测,如SQL注入、跨站脚本、网站挂马、网页木马、CGI漏洞等。
支持基于basic、NTLM、Cookie等认证方式的Web应用系统安全扫描,且支持自定义Cookie进行深入检测。
风险展示及报表能力
支持在线报表,在线查看展示各节点和主机资产风险分布、漏洞分布、配置合规和脆弱账号信息,在线查看设备风险详情。
支持通过多种维度搜索定位资产和查看资产风险,包括并不限于:节点或设备名称、资产IP范围、资产管理员、资产操作系统类型、资产风险等级、漏洞名称、开放的端口、资产banner信息等,须提供截图证明。
支持高级数据分析功能,可对同一IP的两次扫描结果进行风险对比分析,并可在线查看同一IP的多次历史扫描结果,须提供截图证明。
报表支持提供针对不同角色的默认模板,离线报告支持HTML、WORD、EXCEL、PDF、XML等格式,报告可以直接下载或自动通过邮件直接发送给相应管理人员,须提供截图证明。
用户权限管理能力
支持创建不同用户角色权限管理,区分系统管理员、普通用户、审计管理员等角色,不同管理员拥有不同的管理权限。
系统管理及接口能力
具备对外接口,支持安全运营平台或其它安全产品通过该接口下发扫描任务以及获取检查结果。
提供备份恢复机制,能够对扫描结果、扫描模板、参数集等配置文件进行导出和导入操作;能够对系统创建还原点对系统进行备份和还原,须提供截图证明。
产品资质
产品具备中国网络安全审查技术与认证中心颁发的《网络关键设备和网络安全专用产品安全认证》和《中国国家信息安全产品认证》(增强级)证书(CCRC证书),提供有效证书的复印件。
产品具备中国信息安全测评中心颁发的《国家信息安全漏洞库兼容性资质证书》
升级维护
功能要求
提供易用的界面,支持标准C语言脚本,方便快速学习及掌握。
支持生成测试脚本,脚本主要通过录制自动生成。需具备自动完成脚本的上下文关联,且无须编程即可通过。
图形化方式完成检查点添加、集合点和参数化等工作。
支持多种录制方式,除了支持有界面应用的录制外,还需支持无界面应用进行脚本录制及性能测试。
支持测试脚本扩展能力,脚本支持调用外部DLL库,除了录制方式生成脚本外,还可以完全支持手工编写脚本,工具中需自带脚本的编译器和调试功能。须提供截图证明。
测试场景定义
支持多种压力产生方式,针对不同系统,需提供灵活的加压方式,需提供基于用户数的加压测试,基于目标的加压,容量测试等。
支持个性化虚拟用户行为,支持模拟浏览器类型和缓存等。支持设置同步点,对测试脚本中的某一特定请求有针对性地让所有用户同步加压。
支持测试压力分散在多台机器上发起,且支持各类主流Windows及Linux操作系统。支持每台压力生成器上可以同时运行多种应用的不同脚本。
支持模拟不同网络状况。可以在同一压力生成器上模拟不同IP地址,以及模拟不同的网路带宽接入环境。须提供截图证明。
测试过程资源监控。
支持加压时同步完成无代理监控被测服务器。必须支持加压工具内置资源监控功能,而非借助额外工具实现监控,确保监控数据的同步性。监控功能必须以无代理方式进行,不得在所需监控的资源服务器上安装任何代理。
监控覆盖面广,监控环境包括Unix,Windows,Linux,Network,WebShpere,WebLogic,Oracle,Sybase,DB2,SQLServer,Apache,SAP,Citrix,Tuxedo,MQ,RealServer,MediaServer等。须提供截图证明。
测试结果报告分析
支持完善的测试结果报告分析,压力测试后,支持自动对测试及监控结果进行分析。提供数据筛选、指标合并、指标细分、多次结果交叉合并分析等工具。
支持测试报告格式多样性,支持自动生成基于HTML、PDF、PPT、Excel、CSV、XML、BMP和JPEG等多种格式的测试报告。
应用协议支持
支持广泛的应用协议。能够提供对传统协议及新兴协议的支持,支持目前市场上的各类应用环境。协议支持必须包括:
支持模拟HTTP或HTML级别的浏览器和Web服务器之间的通信协议。
支持移动应用程序-HTTP/HTML,需支持移动本机应用程序的录制。
支持录制基于浏览器的移动应用程序。
应用协议扩展
协议支持需具有以下扩展能力,包括:Web,MediaPlayer(MMS),RealPlayer,ODBC,Oracle,TerminalEmulator,Winsocket,IMAP,MAPI,POP3,LDAP,FTP,SMTP,DNS,RMI,SAP,OracleApps,移动应用,RDP等远程调用协议,AJAX,.NET、Flex等。
支持100+并发数。
支持Web协议包(包括HTTP/HTML、JMeter、Gatling、DevWeb等协议)须提供截图证明。
六、报价
(一)投标一览表
品名
应答报价
(元,含税)
增值税率
备注
%
合计
填写说明:
2、报价超过最高限价将否决其报价。报价保留小数点后两位。
3、须按照报价表格式进行报价,不接受0报价。
(二)分项报价表
规格型号
配置参数
生产厂家
预估数量
单价
税率
总价
大写(小写)
日期:年月日
注:
2、如果单价和总价不符时,以单价为准;
3、请提供本采购文件要求设备详细的配置清单及分项报价,包括标准件及选购件;
4、定型产品须在表中标明所提供的设备品牌、规格型号及原产地;加工定制产品需在表中标明主要部件的名称、型号及原产地。
5、本项目为货物类采购,报价人所填写的税率应当按照国家标准的货物税率进行填写。